防火墙实验
防火墙
ping(网络测试工具,测试主机之间的可达性)原理: 发送一些小的网络数据包(ICMP数据包)到目标主机,并等待目标主机返回一个响应(通常是回显应答 Echo Reply)。
ssh(一种安全的远程访问协议)原理: 连接到远程主机时,SSH客户端和服务器之间会进行密钥交换以建立一个安全的通道,SSH使用公钥加密和私钥解密来确保通信的保密性和完整性
一、包过滤防火墙规则配置实验
实验目标:
内部网络(IP:192.168.110.0/24)可以PING外部设备(192.168.100.0/24),但是外部设备不能PING内部设备。
使用iptables
ExterNet:192.168.100.110
Firewall:
192.168.100.1
192.168.110.1
IntraNet:192.168.110.110
Chain INPUT :如果数据包的目的地址是本机,则系统将数据包送往Input链。如果通过规则检查,则该包被发给相应的本地进程处理;如果没有通过规则检查,系统就会将这个包丢掉。
Chain FORWARD :如果数据包的目的地址不是本机,也就是说,这个包将被转发,则系统将数据包送往Forward链。如果通过规则检查,则该包被发给相应的本地进程处理;
如果没有通过规则检查,系统就会将这个包丢掉。
Chain OUTPUT :如果数据包是由本地系统进程产生的,则系统将其送往Output链。如果通过规则检查,则该包被发给相应的本地进程处理;如果没有通过规则检查,系统就会将这个包丢掉。
拒绝请求包或者拒绝响应包即可
拒绝请求包
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROPiptables -A FORWARD -p ICMP --icmp-type 8 -s 192.168.110.0/24 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 0 -s 192.168.100.0/24 -d 192.168.110.0/24 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 8 -s 192.168.100.0/24 -d 192.168.110.0/24 -j DROPiptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP拒绝响应包
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROPiptables -A FORWARD -p ICMP --icmp-type 8 -s 192.168.110.0/24 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 0 -s 192.168.100.0/24 -d 192.168.110.0/24 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 0 -s 192.168.110.0/24 -d 192.168.100.0/24 -j DROP
思考题:
若在实验步骤6中,设置默认规则,将ICMP出入报文设置为Accept放行,如何实现该功能?请设计实验,完成实验并记录。
只使用转发链,INPUT 与 OUTPUT 链不受 ping 的影响
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 8 -s 192.168.110.0/24 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 0 -s 192.168.100.0/24 -d 192.168.110.0/24 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 8 -s 192.168.100.0/24 -d 192.168.110.0/24 -j DROP
二、防火墙NAT路由转换配置实验
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPTiptables -t nat -A POSTROUTING -s 192.168.110.0/24 -j MASQUERADE
或
iptables -t nat -A PREROUTING -p tcp -d 192.168.100.1 --dport 22 -j DNAT --to-destination 192.168.110.110:22vim /etc/ssh/ssh_config
注释掉 PermitRootLogin
重启ssh服务命令 service sshd restart内部设备访问外部设备:
ssh root@192.168.100.110
连接成功后查看ssh连接发起方IP:
who
外部设备访问内部设备:
ssh root@192.168.100.1
连接成功后查看SSH连接到的设备IP:
ip addrservice iptables save
service iptables restartiptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -s 192.168.110.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -d 192.168.100.1 --dport 22 -j DNAT --to-destination 192.168.110.110:22相关文章:
防火墙实验
防火墙 ping(网络测试工具,测试主机之间的可达性)原理: 发送一些小的网络数据包(ICMP数据包)到目标主机,并等待目标主机返回一个响应(通常是回显应答 Echo Reply)。 ss…...
php中进程、线程、协程详细讲解
目录 一、什么是进程、线程、协程 1、什么是进程(Process): 2 、什么是线程(Thread): 3、什么是协程(Coroutine): 二、 进程、线程、协程的关系 1、进程与线程关系 …...
无线通信中SINR的含义
在无线通信中,SINR代表"Signal-to-Interference-plus-Noise Ratio",即信号与干扰加噪声比。这是一个重要的性能度量,用于评估和描述接收信号的质量,以及在无线通信系统中的通信性能。 SINR考虑了以下三个关键因素&…...
pnp单目相机标定测距
参考:opencv 单目相机pnp测距(Cpp)-CSDN博客...
Java反射获取内部类方法
Java反射获取内部类方法 结论一、案例准备二、测试方法:使用反射获取类的成员内部类和方法具体操作具体操作(使用getDeclaredClasses) 结论 Java 通过反射可以获得内部类,包括内部类属性信息和方法。 一、案例准备 创建了一个类…...
发挥服务器的无限潜能:创意项目、在线社区和更多
✅作者简介:2022年博客新星 第八。热爱国学的Java后端开发者,修心和技术同步精进。 🍎个人主页:Java Fans的博客 🍊个人信条:不迁怒,不贰过。小知识,大智慧。 ✨特色专栏:…...
【java】A卷+B卷)
华为OD 绘图机器(100分)【java】A卷+B卷
华为OD统一考试A卷+B卷 新题库说明 你收到的链接上面会标注A卷还是B卷。目前大部分收到的都是B卷。 B卷对应20022部分考题以及新出的题目,A卷对应的是新出的题目。 我将持续更新最新题目 获取更多免费题目可前往夸克网盘下载,请点击以下链接进入: 我用夸克网盘分享了「华为O…...
文件上传接口
以下是一个简单的Java文件上传接口的示例代码: import org.springframework.http.HttpStatus;import org.springframework.http.ResponseEntity;import org.springframework.web.bind.annotation.PostMapping;import org.springframework.web.bind.annotation.Requ…...
基于矢量控制策略的异步电机调速系统设计
摘 要 由于国内人民生活水平的提高,科技不断地进步,控制不断地完善,从而促使矢量控制技术在电气传动系统领域占据主导权,也使得交流异步电机调速控制系统被广泛应用。在交流异步电机调速系统设计领域中,矢量控制成为目…...
Ubuntu下载工具ip addr、ifconfig、ping、make
Ubuntu下载工具ip addr、ifconfig、ping、make ping 在 Ubuntu 上获取网络工具包通常是通过安装相关软件包的方式来完成的。Ubuntu 默认包含一些常见的网络工具,但如果你需要安装其他工具,你可以使用 apt 命令或者 snap 命令进行安装。以下是一些常见的…...
【数据结构】常见复杂度习题详解 ------ 习题篇
文章目录 📋前言一. ⛳️前篇回顾二. ⛳️常见时间复杂度计算举例1️⃣实例一2️⃣实例二3️⃣实例三4️⃣实例四5️⃣实例五6️⃣实例六7️⃣实例七8️⃣实例八 三. ⛳️常见空间复杂度计算举例1️⃣实例一2️⃣实例二3️⃣实例三 四. ⛳️总结 📋前言 …...
一、vue介绍
一、介绍 vue式前端框架,是一套用于构建用户界面的渐进式框架 1、安装vue 安装node.js(配置环境变量) https://nodejs.org/en/download/ 更换镜像 npm config set registry https://registry.npm.taobao.org 查看镜像 npm config get regi…...
Linux ARMv8 异常向量表
http://blog.chinaunix.net/uid-69947851-id-5830546.html 本章接着《Linux内核启动》部分讲解,我们知道了在进入start_kernel之前,通过指令adr_l x8, vectors;msr vbar_el1, x8设置了异常向量表,那么异常向量表的结构是怎么样…...
C++基类和派生类的内存分配,多态的实现
目录 基类和派生类的内存分配基类和派生类的成员归属多态的实现 基类和派生类的内存分配 类包括成员变量(data member)和成员函数(member function)。 成员变量分为静态数据(static data)和非静态数据&…...
C/C++基础
C 二进制 问题:二进制怎么表示整数、小数、正数、负数,如何存储?加减乘除怎么运算(见文章《计算机加减乘除本质》)? 变量 c定义一个变量的时候,需要事先定义变量大小和变量类型。 //有符号…...
MySQL基础练习题
数据表介绍 --1.学生表 Student(SId,Sname,Sage,Ssex) --SId 学生编号,Sname 学生姓名,Sage 出生年月,Ssex 学生性别 --2.课程表 Course(CId,Cname,TId) --CId 课程编号,Cname 课程名称,TId 教师编号 --3.教师表 Teacher(TId,Tname) --TId 教师编号,Tname 教师姓名 --4.成绩…...
【C语言学习笔记 --- 动态内存管理】
C语言程序设计笔记---029 C语言之动态内存管理1、介绍动态内存管理2、动态内存函数的介绍2.1、malloc和free函数2.2、calloc函数2.3、realloc函数 3、动态内存管理过程中,一些常见的错误3.1、对NULL指针的解引用操作3.2、对动态内存开辟的空间的越界访问3.3、对非动…...
Nougat来了,能否成为pdf格式转换的新神器?
Nougat来了,能否成为pdf格式转换的新神器? 论文链接:https://arxiv.org/pdf/2308.13418v1.pdf 项目地址:https://github.com/facebookresearch/nougat What happened?🤨 科学知识主要存储在书籍和科学期…...
C++文件和流
到目前为止,我们已经使用了 iostream 标准库,它提供了 cin 和 cout 方法分别用于从标准输入读取流和向标准输出写入流。 本教程介绍如何从文件读取流和向文件写入流。这就需要用到 C 中另一个标准库 fstream,它定义了三个新的数据类型&#x…...
代码随想录算法训练营第23期day31|贪心算法理论基础、455.分发饼干、376. 摆动序列、53. 最大子序和
目录 一、贪心算法理论基础 二、(leetcode 455)分发饼干 三、(leetcode 376)摆动序列 四、(leetcode 53)最大子序和 一、贪心算法理论基础 1.什么是贪心 贪心的本质是选择每一阶段的局部最优…...
跨平台迁移零成本转换:MusicFree实现音乐收藏自由的完整指南
跨平台迁移零成本转换:MusicFree实现音乐收藏自由的完整指南 【免费下载链接】MusicFree 插件化、定制化、无广告的免费音乐播放器 项目地址: https://gitcode.com/maotoumao/MusicFree 当你从一个音乐平台转向另一个时,精心整理的歌单往往成为最…...
Word一打字就删除后面的文字
按下FN和esc,事esc变亮后,按下insert即可...
抖音直播回放下载工具全解析:技术原理与跨领域应用指南
抖音直播回放下载工具全解析:技术原理与跨领域应用指南 【免费下载链接】douyin-downloader A practical Douyin downloader for both single-item and profile batch downloads, with progress display, retries, SQLite deduplication, and browser fallback supp…...
华为云CCE内网部署Nacos集群实战:不用Helm,纯页面操作搞定镜像上传与配置
华为云CCE内网部署Nacos集群实战:纯控制台操作指南 在企业级容器化部署场景中,内网环境下的服务部署往往面临特殊挑战。当安全合规要求严格限制外网访问时,传统依赖公网镜像仓库和Helm工具的部署方案便不再适用。本文将详细介绍如何在华为云…...
在线数据处理工具
推荐一个好用的在线数据处理工具,程序员必备 作为程序员,经常需要处理各种文本数据。今天推荐10个超好用的在线工具,每个都能帮你节省大量时间。 1. 文本去重工具 地址:https://www.aiyun1.cloud/dedup 功能:一键去除…...
从VASP的POSCAR到精美插图:一条ASE可视化流水线搭建指南
从VASP的POSCAR到精美插图:一条ASE可视化流水线搭建指南 在计算材料学研究中,我们常常需要处理大量的结构文件,尤其是VASP计算产生的POSCAR文件。这些文件包含了材料的原子坐标和晶格信息,但直接阅读文本文件很难直观理解材料的几…...
面向 LLM 的程序设计 4:API 版本化与演进——在「模型会记忆旧文档」前提下的兼容策略
用三句话先说明白 人会照旧说明书办事,模型也一样。 它见过的文档、缓存里的接口描述、网页上没刷新的说明、向量库里还没更新的片段,都可能比真实系统更旧。于是系统已经升级了,它还在用老地址、老字段名、老例子去调用。 给人改流程&#…...
告别官方版SSE2坑!用linsys_pjsip 2.11.8在ARM32平台快速集成SIP与WebRTC AEC3
ARM32平台高效集成SIP与WebRTC AEC3:linsys_pjsip 2.11.8实战指南 在嵌入式音视频通信领域,ARM32架构设备因其低功耗和成本优势被广泛应用。但当你尝试在这些设备上部署PJSIP时,官方版本的SSE2指令集依赖就像一堵高墙,让许多开发者…...
)
merge sort(自用)
首先来看一下这道题目:# P1309 [NOIP 2011 普及组] 瑞士轮## 题目背景在双人对决的竞技性比赛,如乒乓球、羽毛球、国际象棋中,最常见的赛制是淘汰赛和循环赛。前者的特点是比赛场数少,每场都紧张刺激,但偶然性较高。后…...
RS485接口EMC设计要点与工程实践
1. RS485接口电路设计概述RS485作为一种常见的工业通信接口,广泛应用于设备间的数据传输。在实际工程应用中,我发现很多工程师只关注通信功能实现,却忽视了关键的EMC设计,导致产品在测试或现场应用中出现各种问题。我曾参与过一款…...